Очень хитрое шифрование данных. Как? - Форум по вопросам информационной безопасности
Очень хитрое шифрование данных. Как? - Форум по вопросам информационной безопасности
| Автор: oko | 82361 | 16.11.2017 12:27 |
|
to Влад
Специально для таких заявлений в стиле <по той причине, что пользователь локальный админ> любое уважающее себя СЗИ НСД имеет встроенную ролевую модель доступа. При которой на уровне ОС права админа ликвидны, но с настройками и функционалом СЗИ он все равно мало что может сделать... Если же интересует возможность выгрузки драйверов СЗИ, обладая админскими правами в ОС, либо беспрепятственный поиск и эксплуатация уязвимостей (с админскими правами-то проще, не спорю), то тут принципиальный вопрос в другом - какова компетентность лица, проводящего атаку? Сиречь, штатного юзера системы? А уже для этих целей как раз введено понятие "Актуальная модель нарушителя" и "Актуальная модель угроз"... |
|
| Автор: Влад | 82364 | 16.11.2017 13:04 |
|
< oko >, по поводу компетентности согласен, да и то отчасти, т.к. не нужно особых навыков, чтобы зайти на google.ru, набрать что-нибудь из разряда "как отключить ... через реестр Windows" и получить ответ, а потом воспользоваться этой информацией в корыстных целях.
Что касаемо "Модели угроз". Так этот документ нужен, в основном, "для галочки", практической пользы, в части защиты информации, от него почти нет. Например, в компаниях, в которых по факту актуальна защита коммерческой тайны, "Модель угроз" и вовсе бесполезный документ. |
|
| Автор: oko | 82369 | 16.11.2017 14:16 |
|
to Влад
Это когда защита для галочки, тогда и бумажки для галочки... А если делать по-феншую, то первый шаг безопасности - структурирование. Разработка ЧМУ структурирует логический, физический, информационный и кучу других уровней. Позволяет наглядно показать, что есть наша ИС. И понять, где у нас все хорошо, а где утычки. Согласен с одним - ЧМУ не нужна, когда инфобезом в конторе занимается 1 человек с мегамозгами и памятью или минимальным составом компонент ИС. При этом сидящий на своем месте последние лет дцать, изучивший техпроцесс от и до и не собирающийся уходить (читай, бессмертный). В первом случае он все держит в голове и контролирует и анализирует на лету. Во втором... Скажем так, ему это нахрен не надо... Только оба описанных случая либо исключение, либо глупость и недальновидность руководства организации. Весьма маленькой и глупой организации в наши неспокойные и небезопасные дни... ЗЫ сложно в гугле добыть готовые кейсы для современных отечественных СЗИ. Ситуацию с непатченным SN, например, не предлагать. За такие кейсы мало кто берется по разным причинам. Следовательно, их цена на порядок выше типовых профитов, которые инсайдер может вытащить из атакуемой ИС. Хотя бывает всякое, объект объекту люпус эст. Вот и еще один повод для ЧМУ, ага... |
|
| Автор: Alex | 82380 | 16.11.2017 18:15 |
|
>проблему проектирования и хранения данных, останется открытым вопрос взаимодействия с контроллерами
сдаётся мне, ТС в требованиях к системе написал больше, чем нужно. это мне напоминает АСТУ/АСУ ТП. ergo используйте замкнутую сеть без выхода в интернет/КСПД (использовать fw не предлагаю). отключайте физически всё лишнее, опечатывайте, пломбируйте, скрепляйте печатью и нумеруйте всё остальное и пусть резвятся. защищаться от сервисных инженеров/РЗАшников проблематично, но увлекательно |
|
| Автор: Du10 | 82456 | 18.11.2017 20:08 |
|
nekto
"Если пользователю разрешено отправлять данные на печать (в открытом виде), то вместо принтера может оказаться программа пересохраняющая данные.." Отбираем права админа, и возможность ставить принтеры. + ставим софт по сохранению скринов всего распечатанного и сажаем человека каждый день контролировать что печаталось |
|
| Автор: Du10 | 82457 | 18.11.2017 20:51 |
|
По теме: я б этой курице с золотыми яйцами пояснил, что если курица не хочет что бы её яйца украл злой дядя-конкурент, то надо работать на оборудовании подготовленном нами. + можно продать одно яйцо и купить топовое железо.
Дано: мобильный сотрудник, который работает на ноутбуке в офисе, и за его пределами. Сотруднику нужен доступ до сетевой шары с файлами + защищено хранить собственные файлы, что бы даже по пьяне не скинуть их куда не надо. Так-же сотрудник хочет пользоваться любимыми мессенджерами, почтой, и браузером. Покупаем ноут с хорошей матерью и процем (не АМД). Ставим туда шустрый и ёмкий SSD и меняем родную ОЗУ ноутбука на много-много быстрой памяти. Быстродействие позволит переманить сотрудника пользоваться железом выданным компанией, а не собственным. Шифруем диск ТруКриптом и сообщаем пароль сотруднику. Это позволит защититься от оффлайн копирования и изменения данных и программ без ведома сотрудника. А дальше делаем выбор: 1. у сотрудника везде есть хороший интернет - тогда используем RDP 2. у сотрудника где-то нет интернета, но работать с файлами надо - используем виртуалку. Виртуалку так-же шифруем TrueCrypt-ом, и настраиваем. Ставим туда нужный софт для редактирования файлов, настраиваем VPN подключение к шаре с файлами. НО режем обмен файлами между хостовой ОС и гостевой (виртуальной) ОС. То есть, смотреть можно, но в хостовую ОС копировать нельзя. Дополнительно, ставим шпионское ПО, которое снимает скриншоты разв N секунд, и пишет все нажатия клавишь, и хранит это всё в шифрованном контейнере. |
|
| Автор: oko | 82461 | 18.11.2017 22:44 |
|
to Du10
Гениально... (с) Решение в стиле "будем считать, что теперь защищено". На практике безопасность не повысит + внесет кучу доп.проблем для "контроллеров" (даже с учетом средств автоматизации разбирать логи потенциального инсайдера по скринам, кейлогам и журналам Win каждые N секунд - верный путь к суициду)... И да, не подменяйте, товарищ, условия задачи. Дано было "юзер с правами local admin". И в этом аспекте ни TrueCrypt, ни виртуализация рабочей ОС, ни тем более терминал по RDP не будут являться гарантом... Про AMD особо порадовало, кстати... ЗЫ Лучше купить "мощный ноутбук" не только сотруднику, но и всем его родственникам (до пятого колена, ага). Правильная мотивация работника - наиболее действенный способ защиты от внутренних утечек ИОД... |
|
| Автор: Du10 | 82523 | 19.11.2017 13:08 |
|
to oko
Мой жизненный опыт показывает, что если у пользователя отобрать права админа, и настроить систему так, что бы ему эти права были не нужны - то он и не заметит разницы. Скорей всего, права админа были т.к. сотрудник просто привык так работать. И да, если права админа есть, то RDP таки может быть гарантом, если порезать права на стороне сервера. Или не RDP, а любой другой инструмент удаленного доступа, через который можно только смотреть, да кнопки нажимать. Без возможности передачи файлов. |
|
| Автор: Бутч | 82524 | 19.11.2017 14:13 |
|
Иногда права админа нужны пользователю в обязательном порядке, т.к. запуск некоторых программ требует именно таких привелигированных прав.
|
|
| Автор: oko | 82527 | 19.11.2017 15:55 |
|
*в сторону* вспомнился анекдот про богатый жизненный опыт. Тот самый с риторическим вопросом "А вы когда-нибудь видели, чтобы туалетная бумага по перфорации рвалась?"
to Du10 Про права админа не ко мне - это условия топикстартера. И подменять их, думаю, не следует. Ибо ТС сам сокрушался, что пока менять сложившийся порядок не вариант... А про терминальный доступ (RDP, VNC, Spice и проч.). Редко вам, походу, приходилось работать с юзерами, которым в поезде/самолете/под водой/в жерле вулкана/добавить по вкусу приходилось лепить "очень важный отчет срочно и за 15 минут"... Да и не панацея тот же RDP во всяком случае в стиле "ограничим права до минимума на стороне сервера"... |
|
Страницы: < 1 2 3 >
Просмотров темы: 5315
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"